86 Membres 1277 Contributions

Open Community

Discussions - Administration

<p>Fil de discussions autour des outils d'administration d'AMC, d'Arkoon Manager, Arkoon Monitoring, ACC</p>

Non résolue

Soucis Ouverture de ports sur SN510 ..

Posée par Johann Coquillet dans Administration

Bonjour,

Petit soucis du jour.

J'ai un SN510 derrière une LiveBox, sur laquelle j'ai redirigé tous les ports vers le SN510 et créé la DMZ.
Sur le SN510 j'ai bien un accès internet après la création de la partie NAT pour accès Internet.
Soucis je dois ouvrir le port RSYNC vers mon Stormshield pour le pointer sur un NAS, et là cela se corse, j'ai du zappé quelque chose.

Pour Info :

WAN SN510 / 192.168.65.254 - LAN LiveBox / 192.168.65.1
Côté NAT
Network_Internals -> Internet -> IP WAN SN510 -> Ephemeral_fw -> internet (sortie Internet)
Any -> IP WAN LB -> RSYNC ->         NAS -> RSYNC (ouverture de port)

Côté FILTRAGE
passer -> Any -> IP WAN LB -> RSYNC -> Firewall
passer -> Network_Internal -> Internet -> Any -> IDS

Mais je n'arrive pas à me connecter de l'extérieur en RSYNC alors que Ok en Local.

Je pense que le soucis c'est entre la sortir en 192.168.65.254 et l'entrée avec Adresse IP Publique, mais je bloque.

Voir la suite
Non résolue

LAN sur SN200

Posée par John Doe dans Administration

Bonjour,

Nous utilisons actuellement un Stormshield SN200 configuré en mode bridge (ou mode transparent), hors nous avons constater que nous pouvions le configuré en mode translaté.

Nous aimerions connaitre les différences (avantages et inconvénients) de ces 2 modes.

Merci d'avance.

JD

Résolue

Automatisation NSRPC

Posée par Paul Lepoulpe dans Administration

Bonjour,

Je souhaiterai automatiser quelques commandes via NSRPC.

Est-il possible de lui passer des commandes en argument?

J'ai essayé d'utiliser expect mais les commandes semblent ne pas être prises en compte.

Auriez-vous des alternatives?

Merci.

Résolue

Compter le nombre de fois qu'une règle est utilisée

Posée par Guillaume V dans Administration

Bonjour,

Je suis sur le point de remplacer mes arkoons par des stormshield. Avant de commencer à créer mes règles de flux sur mon stormshield je cherche à faire du ménage dans mes règles de flux. Avec le compteur surbles règles de flux de l'arkoon je peux voir celles qui sont utilisées ou non. Nickel pour mes règles de flux concernant des port TCP. Cependant le compteur reste à 0 pour toutes mes règles de flux utilisant des ports UDP. Pourtant j'ai belle et bien du traffic. Aucune autres règle de flux qui pourrait strapper ces règles en UDP n'existe.

Ma question, est il possible de compter le nombre de fois qu'une règle utilisée pour de l'UDP est matchée ?

Merci.

Non résolue

script Autoupdate version powershell

Posée par Yannick Dalencon dans Administration

Bonjour à tous,

 

Je souhaite partager le script de téléchargement autoupdate en version powershell (traduit de updater.sh présent sur mystormshield et amélioré).

Ce script permet par rapport à la version linux de ne pas retélécharger le fichier tgz si le fichier présent localement correspond au bon hash MD5.

Windows ne gérant pas nativement les fichier tgz, il est nécessaire d'utiliser 7Zip (via 7z.exe)

Résolue

Multi ip Wan SN510

Posée par Gerard Ridouard dans Administration

Bonjour

je posséde un stormshield SN510, je n'arrive pas a configurer un nombre suffisant d'adresse Ip publique dans INTERFACES-WAN- Ip statique

le nombre maximun est de 6 alors que je posséde 30 adresses Ip Publique

connaissez vous une solution

j'ai essayer de les créer manuellement dans les objets mais cela ne marche pas quand je faire mes régles de NAT (manque la passerelle)

dans l'attente de vous lire

merci d'avance

Résolue

Serveur WEB inaccessible derrière mon U150

Posée par Mohamed T dans Administration

Bonjour à tous,

Je suis devant un problème sur lequel je me casse les dents depuis 2 jours.

Je dois ouvrir l’accès a un serveur web que je viens d'installer mais je n'arrive pas à ouvrir les portes!

1 j'ai demander à ouvrir le port 80 sur le routeur de mon opérateur afin de pouvoir rediriger les requettes arrivant sur mon adresse ip publique:80 vers mon serveur web

2 J'ai Natter pour que tout ce qui arrive sur mon WAN depuis le routeur opérateur soit redirigé vers mon serveur web

3 Je laisse passer le trafic arrivant depuis internet sur le port 80

Malgré cela lorsque que je regarde les log je vois un blocage du a une "sonde de port" sur mon entrée WAN

NB : Je suis complètement autodidacte en la matière et me rends bien compte que une formation spécifique sur ce type de matériel pourrai me faire du bien!

 

Non résolue

Problème impossible d'avoir les log des firewall sur autre réseau

Posée par Ilian B dans Administration

Bonjour,

Je viens de mettr een place SVC. J'arrive à faire remonter les logs du pare feu local (même réseau) mais quand j'essai d'ajouter d'autres pare feux sur d'autres réseaux, rien ne se passe. Sauf pou 1...

En gros, j'ai la VM qui est sur le réseau 192.168.21.0, un pare feu sur ce même réseau et 2 autres réseaus joignables entre eux : 192.168.21.0 et 192.168.12.0

J'ai un pare feu de test en 192.168.25.200 dont je vois les logs sur SVC mais un autre pare feu en 192.168.25.254 avec exactement la même config ne passe pas et le pare feu en 192.168.12.254 ne passe pas non plus......

Le filtrage entre les réseaux est nul (any) et en mode firewall.

Pour le coup je n'ai pas la moindre idée d'où peut venir le problème...

Est-ce que certains d'entre vous ont déjà réussi à obtenir les log de pare feux sur des réseaux diférents de celui de la VM ?

Quelqu'un à une idée ? un fichier de conf à modifier sur la VM ?

Merci à tous !

Non résolue

stormshield sn310 - forcer une interface pour un protocole définit

Posée par Sebastien Blabla dans Administration

Bonjour a tous,

 

Je suis nouveau dans le monde stormshield, j'ai un sn310 a administrer avec 2 connexion internet configuré sur 2 interfaces différentes du stormshield.

J'ai besoin de forcer tout le protocole POP et SMTP a sortir sur une seul des interfaces.

Je ne sais pas si ce que j'ai fait est bon et j'aurais besoin de confirmation/correction :

j'ai ajouté dans les filtre une règle qui bloque mon serveur de messagerie en source et en destination tout sur l'interface non souhaité avec comme port de destination pop3 et smtp.

La règle semble tre utilisé mais est-ce suffisant?

 

Merci d'avance.

Sébastien

Résolue

Config SN310

Posée par Stephane Fritsch dans Administration

Bonjour,

Je suis en cours de migration entre un SN300 et un SN310.

J'ai fais un export et un import de conf.

Depuis, je n'arrive plus à me connecter à mon nouveau firewall (SN310). En me connectant en USB, je vois les interfaces elle sont bien configurées sauf celle sur laquelle j'ai autorisé la connexion car j'ai mis des vlans sur cette interfaces et l'addresse ip de la carte est attribué automatiquement et je en peux pas me connecter.

Une idée ?

Si besoin de plus d'infos pas de soucis.

D'avance merci.

Non résolue

Perte accès interface Web SN 510

Posée par Yaya G dans Administration

Bonjour,

 

Tout d'abord meilleurs voeux à tous pour cette année 2019.

J'utilise un Firewall Stormshield SN510 et depuis la MAJ 3.6.0, je n'arrive plus à me connecter sur les pages https://XXXXXXXXX/admin/ et https://XXXXXXX/auth.

La dernière maj qui fonctionne correctement est la 3.5.2.

Dès que je mets à jour le firewall en 3.6.0 ou 3.7.1, le problème se reproduit.

L'accès en SSH focntionne bien car c'est par ce moyen que je peux revenir en 3.5.2 avec la partition de backup.

Aucun changement n'a été fait au niveau de la configuration entre la 3.5.2 et la 3.7.1.

Auriez-vous des idées?

 

D'avance merci.

 

Non résolue

AMCV6 Suppression cert

Posée par Marc Affinito dans Administration

Bonjour,

J'ai une base de donnée assez conséquente de certificat. Elle doit mettre environ 5min à se charger quand je vais voir l'autorité de certification, une fois dans mon instance.

Comment faire le ménage dans les certificats ? Comment supprimer les certificats révoqués et expirés ? Pas besoin de garder un historique.

 

D'avance merci pour votre aide

Non résolue

Migration pare-feu

Posée par Jean Emam dans Administration

Bonjour,

Je dois migrer le pare-feu stormshield NG1000 en version 2.8 vers SN910 est que je peux restaurer le sauvegarde de NG1000 sur SN910.

Merci

Résolue

Probleme acces GUI apres montage VPN IPSec

Posée par Pierre-Yves Cognac dans Administration

Bonjour à tous,

Je suis en train de configurer un tunnel VPN IPSec entre deux sites distants sur un StormShield SN310. J'ai donc paramétré mon VPN, ainsi que mes régles de filtrage NAT sans difficulté, par contre, au moment de déclarer mes domaines d'encryption sur le site distant, j'ai perdu l'accès à la GUI et impossible de le récupérer. Je me suis connecté en console et j'ai ajouté la ligne suivante dans /usr/Firewall/ConfigFiles/Filter/05 (qui est le numero de slot de mon filtrage NAT) : pass inspection firewall from any to Firewall_all port https suivi d'un enfilter -u mais cela n'a rien donné.

Pour info, mon réseau local est en 10.142.6.0/28 et un des domaine d'encryption que j'ai déclaré pour mon site distant est 10.0.0.0/8. Cela peut-il poser un problème ? J'ai pourtant toujours accès aux diverses autres interface web sur mon reseau en 10.142.6.0/28 (Freenas, etc...)

Je suppose qu'une régle quelque part m'empéche de me connecter, plus probablement dans...

Voir la suite
Résolue

récupérer liste de filtrage SMTP

Posée par Hubert Hla dans Administration

Bonjour à tous

je dois remplacer un boitier Netasq U150 en V9 par un SN310  en V3 ;

évidemment ,je ne peux pas importer la config exporté..... ok , le souci c'est qu'il y a -entre autre- pas mal de lignes dans le filtrage SMTP entrant (qq centaines).

je me doute qu'il faudra passer par une sortie de fichier en console , puis ré-import. d'ou ma question :

quel est le fichier qu'il faut extraire ?

merci de vos réponses  et bonne reprise

Non résolue

DHCP inaccessible ?

Posée par Fighter 777 dans Administration

Bonjour,

 

J'ai un soucis du coté DHCP.

 

j'ai un point d'accès qui partage un réseau sur un vlan invité

le vlan transit à travers 2 switchs manageable puis arrive sur le pare-feu

jusque là tout va bien ..

 

j'ai fais une translation NAT du vlan vers internet, configuré le vlan sur l'interface qui va bien et pour 2 pcs différents, j'ai l'un des deux qui n'arrive pas à avoir une ip.


pourtant l'ip a l'air d'être bien envoyé d'après Stormshield RTM qui m'affiche d'ailleurs un mauvais Vlan mais la bonne plage ip du vlan en question

 

j'ai un NAT pour les multicast mais pas sure qu'il serve à quelque chose voir même passe avant la règle de filtrage ?

car j'ai des blocage de RFC 3330 dont je ne comprend pas la provenance (je suis censer l'avoir autorisé ...)

 

Merci d'avance,

Cordialement

Non résolue

regle qos pour mes dns

Posée par Mickael Bieque dans Administration

bonjour 

je possede un stomshield virtuel depuis peu.

Nous avons un tres bon debit , mais nous eprouvons des "latence" sur la resolution dns .

les dns sont bien configurés dans le stormshield .nenamoisn j ai vue sur la document qu il pouvait etre benefique de creer une qos pour les dns . mais cetta qos est a aplliquer a quoi , aux regle de nat que l on a creer ,a toute les regles ou a une regle specifique ? 

auriez vous un exemple de regle ? 

 

Résolue

Real-Time Monitor Stormshield

Posée par Henri Erre dans Administration

Bonjour,

J'ai récupéré un réseau avec un StormShield SN510 en production.

Mon premier reflex étant de connecter le RTM dessus et voici le message que j'ai :

J'ai beau être en local, VPN SSL ou même taper depuis l'adresse WAN rien à faire, j'ai essayé plusieurs comptes, admin ou pas, même chose ...

Les ports 443 et 1300 sont ouverts, j'avoue sécher ...

Merci de votre aide.

PS : Pour info le firmware est version 3.4.0

Résolue

MAJ Firmware SN710 de 1.x à 3.x

Posée par Fat Dam dans Administration

Bonjour,

J'envisage à maj la version firmware de nos SN710 à partir du 1.5.0 à 3.x

Je procéderai comme suivant:

1/ vers v2.11.0

2/ ensuite vers v3.5.2

Pourriez-vous me confirmer que ces versions sont stables et que le passage aboutira?

car Je n'ai pas de retour d'expériences sur ces versions.

Merci.

 

Non résolue

Lien MPLS et routage

Posée par Patrice Le Garff dans Administration

Bonjour,

Nous venons de relier nos deux sites distants par une liaison MPLS.
Ces deux sites sont équipés de parefeu Stormshield SNS et ont leur propre sortie Internet.
Je dois configurer sur chaque site une table de routage sur le pare-feu pour diriger les flux en fonction du sous-réseau :

Site A :
routage du sous-réseau local 192.168.0.0/24 vers sous-réseau 192.168.4.0/24 en passant par passerelle "Routeur site A VPN FAI" (192.168.0.XXX)
routage du sous-réseau local 192.168.0.0/24 vers 0.0.0.0/0.0.0.0 en passant par "Routeur site A Internet FAI"

Site B :
routage du sous-réseau local 192.168.4.0/24 vers sous-réseau 192.168.0.0/24 en passant par passerelle "Routeur site B VPN FAI" (192.168.4.YYY)
routage du sous-réseau local 192.168.4.0/24 vers 0.0.0.0/0.0.0.0 en passant par "Routeur site B Internet FAI"

J'ai essayé d'utiliser les routes statiques (avec ou sans routes de retour) et le routage par régle de filtrage.
La dernière solution me permet de voir du trafic mais le lien MPLS...

Voir la suite
Messages d'alerte